【解析】エポスカード「お客様情報ご確認のお願い」の正体
【調査報告】最新の詐欺メール解析レポート
エポスカードを騙るフィッシング攻撃の技術的分析 | | ■ 最近のスパム動向
今回ご紹介するのは「エポスカード」を騙るメールですが、その前に最近のスパムの動向について解説します。現在、正規サイトのセキュリティ強化(2要素認証など)を逆手に取り、「アカウントの再確認」や「異常ログインの検知」を装って偽サイトへ誘導する手法が主流です。特に今回のように、本物の公式サイトには存在しない「セキュリティチェック中…」というクッションページを挟むことで、ウイルスバスター等の自動検知ツールを回避する巧妙なケースが増加しています。
| ■ 受信メール解析結果 | 件名 | [spam] 【要確認】エポスカード お客様情報ご確認のお願いNo.335112 | | 見出しの異常 | 件名に[spam]と表示されるのは、サーバー側で既に危険と判定されている証拠です。 | | 送信者 | “エポスカード 会員サービスセンター” <member@eposcard.co.jp> | | 受信日時 | 2026-03-19 17:05 |
【送信者に関する情報】
表示アドレスは正規の `eposcard.co.jp` を盗用していますが、送信ルートは全く別の海外サーバーを経由しています。受信者のメールアドレスをそのまま表示名に使用したり、ドメインを偽装したりする手法は、典型的ななりすましです。
| ■ メールの本文内容(画像忠実再現)
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
【エポスカード】お客様情報のご確認のお願い お客様各位 平素よりエポスカードをご利用いただき、誠にありがとうございます。 このたび、お客様の口座にご登録いただいているカード情報について、システム点検により一部の内容を確認させていただく必要が生じました。 つきましては、誠に恐れ入りますが、下記の手順に従いお客様ご自身でご登録情報のご確認をお願いいたします。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼ オンラインでの確認手順 エポスカード公式サイトにアクセス
hxxps://www.epo****rd.co.jp/u****te/ 「エポスNet」にログイン
※初めてご利用の方は「会員登録」よりお手続きください 「お客様情報確認 変更」メニューを選択 ご登録内容をご確認いただき、誤りがある場合は修正 内容を確認のうえ「更新する」をクリック ※お手続きには、エポスカード番号とお客さまご自身の情報が必要です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【お問い合わせ先】
エポスカード カスタマーセンター
電話:0120-354-665(受付時間:平日 9:00-18:00)
オンライン:hxxps://www.epo****rd.co.jp 配信停止:hxxps://www.epo****rd.co.jp/
VWANMS OA
|
【署名の不審点】
署名に記載されている電話番号「0120-354-665」を調査したところ、これはエポスカードの正規の紛失受付センター等の番号ではなく、一部の詐欺メールで共有されているダミー番号、あるいは古い情報である可能性があります。公式サイトの正規窓口とは異なる番号を記載することで、犯人側が用意した偽の電話窓口へ誘導するリスクもあります。
| | ■ 犯人の目的と専門的見解
【犯人の目的】
この犯人の目的は、メール本文の「お手続きには、エポスカード番号とお客さまご自身の情報が必要です」という一文にある通り、クレジットカードの全ての情報(番号、有効期限、セキュリティコード)を窃取することです。
【メールの分析感想】
デザインは非常にシンプルで、公式サイトのロゴを使わずにテキスト主導で構成されています。これは、メールソフトの画像ブロック機能を回避しつつ、素っ気ない「事務連絡」を装うことで、受信者に疑わせる隙を与えない意図が感じられます。
| ■ 送信元の回線関連情報(Evidence) | Received情報 | from jayyspyrotechnics.com (jayyspyrotechnics.com [35.187.212.119]) | | 送信IPアドレス | 35.187.212.119 | | ホスト名 | 119.212.187.35.bc.googleusercontent.com | | ホスティング事業者 | Google Cloud (Google LLC) | | 設置国 | ベルギー (Belgium) | | ドメイン登録日 | Whois: https://whois.domaintools.com/jayyspyrotechnics.com |
【解析コメント】
送信IP「35.187.212.119」は、Google Cloudのインフラが悪用されていることを示しています。正規の配信ドメインと送信元が完全に一致しないため、100%偽装であると断定できます。
本レポートの根拠データ: https://ip-sc.net/ja/r/35.187.212.119 | ■ リンク先ドメイン・サイト解析 | リンク先URL | hxxps://allamericanp****s.com/bDtfWH(※伏せ字含む) | | ドメイン | allamericanpipes.com | | IPアドレス | 172.67.147.163 | | ホスト名 | allamericanpipes.com (Cloudflare利用) | | ホスティング事業者 | Cloudflare, Inc. | | 設置国 | アメリカ合衆国 (United States) | | ドメイン登録日 | 最近取得されたドメイン(数日〜数ヶ月以内) |
【ドメインに関するコメント】
登録日が極めて最近である理由は、詐欺サイトが検知されて閉鎖されるたびに、新しいドメインを次々と使い捨てにする「バーナードメイン」手法を取っているためです。
| ■ 詐欺サイトの潜伏画像と挙動 | 【詐欺サイトの検知回避画面】 
|
【サイトの状態と危険なポイント】
アクセスすると「ブラウザを確認しています」という偽のセキュリティチェックが表示されます(画像参照)。これは一見、安全なサイトのように見えますが、実際にはGoogleやセキュリティ企業の巡回ロボット(クローラー)を追い出し、生身の人間だけをフィッシングページへ案内するための罠です。現在も稼働中であり、極めて危険です。
サイト回線詳細データ: https://ip-sc.net/ja/r/172.67.147.163 | | ■ まとめと公式推奨対応
過去の事例と比較しても、今回のメールは「クローキング技術(偽のチェック画面)」を併用しており、非常に巧妙です。メール内のリンクは絶対にクリックせず、ブックマークした公式サイトからログインしてください。
【エポスカード公式サイト 注意喚起リンク】
エポスカードを騙る不審なメール・サイトにご注意ください | |